内容字号:默认大号超大号

段落设置:段首缩进取消段首缩进

字体设置:切换到微软雅黑切换到宋体

jwt的本质与用途

2018-05-15 14:44 出处:清屏网 人气: 评论(0

JWT本质

相信大家都接触过一类开放平台,平台给开发者提供开发者帐号与密码。

开发者调用API时明文传递帐号,并用密码对请求参数做一个MD5之类的签名,服务端会再次计算签名并与你提交的签名比对,从而确认身份合法。

JWT本质上就是这样一个东西,只不过jwt是一个规范,规范的好处就是会有很多开源项目。

JWT的签名算法也不局限于MD5,比如可以是基于RSA的签名(私钥签名,公钥验证)。

发散一下

先假设现在jwt的使用场景就是上面的开放平台,然后发散一下。

防止jwt泄露

客户端调用API携带jwt,必须保障jwt不会被网络窃取,所以要使用https保护。

防止重放

假设jwt在不知情的情况下泄露,又该如何防范?

一般可以在jwt明文中引入当前时间戳,并一起参与签名。服务端需要校验时间戳在N分钟内,从而及时阻止重放攻击。

开放平台一般还要求将请求参数一起参与签名,这会进一步提升安全性,即攻击者只能重放某一个资源。

逆向思维

前面jwt是客户端生成的,客户端/服务端都知晓帐号密码,从而实现服务端验证,一般用在API场景。

逆向思维就是服务端生成jwt,保存在客户端使用,一般用在web。

我们比较熟悉基于cookie+session的方案,服务端保存登录会话信息,客户端保存一个会话标识。然而Jwt是客户端明文存储,服务端无存储,所以不能够保存敏感的会话信息。

cookie+session方案下,服务端可以实现会话立即注销,而jwt只保存在客户端,所以服务端签发jwt时,一般会在明文中记录当前时间戳并签名,实现jwt的有效期控制。

逆向场景下的jwt比较难以利用,但是也存在一些场景。

一个常见场景就是找回密码,服务器会发送一个链接到你的邮箱,点击链接就可以直接修改密码。

服务端是如何确认访问链接用户的合法性呢?通常做法会在链接里放一个用户标识,一个时间戳,以及一个签名,当点击链接时服务端校验签名确认合法性,这些信息可以统一保存在jwt中。

找回密码链接一般访问一次即会失效,这种情况下服务端会涉及到存储,即生成一次性的标识取代用户标识,并在存储中记录访问状态,确保访问一次即失效。

jwt在这里就是提供一种规范的标识传递和签名方法,它本身并不会给上述逆向业务场景带来完全的安全性,而是需要业务根据实际情况决定签名哪些信息,是否服务端存储。


分享给小伙伴们:
本文标签: jwt加密解密

相关文章

发表评论愿您的每句评论,都能给大家的生活添色彩,带来共鸣,带来思索,带来快乐。

CopyRight © 2015-2016 QingPingShan.com , All Rights Reserved.

清屏网 版权所有 豫ICP备15026204号